风险管理之引入网络安全风险量化

简介

越来越多的人采用网络安全风险量化作为改进风险分析和沟通的一种方式。这样做可以让您用利益相关者可能更熟悉的术语来谈论网络安全风险，并且与组织更广泛的业务环境更相关。由于对自己是否拥有必要的知识或数据存在误解，许多人推迟了量化风险的尝试。本指南介绍了网络安全风险量化，解决了一些误解，并讨论了您可能使用它的原因。

什么是量化？

量化被定义为“事物数量的表达或测量”。应用于网络安全风险分析，这可能意味着使用统计模型来衡量您面临的风险有多大。对于风险沟通，量化可能意味着：

• 将风险的可能性或影响表达为数量，例如每周、每月或每年一次
• 系统停机时间（以小时为单位）
• 补救成本作为影响的货币价值。

序数（第1、第2、第3等）或标签（低、中、高）不衡量某物的数量；它们代表位置或顺序。在网络安全中，序数或标签通常用于对发现或风险的可能性或影响进行评分。这些是有序标签而不是测量数量，因此不是网络安全风险量化的示例。一些风险评估和风险分析方法试图使用数学运算来组合这些标签或序数，并且因为这些不是测量的数量，所以应该避免这种情况。

风险量化神话

关于网络安全风险量化存在很多误解，可能会阻碍人们亲自尝试。在我们讨论为什么您可能会考虑量化之前，下表旨在揭穿其中一些误解（神话）。

为什么要使用网络安全风险量化？

1. 用利益相关者关心的术语进行沟通

量化风险有助于以更适用于业务环境的方式表达风险。例如，您可以使用频率或百分比来估计风险发生的可能性（“我们预计此事件在未来 6 个月内发生一次”）。

同样，可以定量地表达风险的潜在影响。这可能包括使用货币价值、受影响的设备数量、受影响的关键服务数量或关键系统或服务不可用的时间。

结合起来，这将允许使用可能性和影响来描述风险，例如，“根据我们当前的安全控制，我们有 90% 的信心这种风险将在明年至少发生一次，并且成本将在 5,000 英镑之间如果发生这种情况，则赔偿 25,000 英镑。” 以这种方式构建风险可以帮助回答诸如“我们有多少风险？”之类的业务问题。并且可以使有关风险是否可能超过风险承受水平的讨论变得更容易管理。

2. 实现成本效益分析和风险比较/优先级排序

风险量化可以更轻松地执行成本效益分析。除了对风险发生的频率（或其影响）进行定量估计外，您还可以估计建议的控制措施将在多大程度上降低该风险。这些估计可以通过一系列来源获得，例如保证活动、控制效果的评估或建议的控制如何集成到系统中的专家知识。

将估计的可能性或影响减少与新控制措施的成本进行比较可以帮助决策者选择是否实施控制措施。这有助于确保尽可能有效地管理有限的安全资源。同样，当有多个选项需要实施控制时，权衡每个选项所提供的风险降低程度（及其成本）可以帮助您做出更明智的决策。

很难比较两个被评为“高”或 5/5 的风险并决定首先需要解决哪一个。如果对风险进行量化，可以更详细地了解风险对您的组织意味着什么，那么它可以帮助从业者和决策者决定首先解决哪个风险。

3. 提供透明度

网络安全存在很多不确定性，而这些不确定性往往未被认识到。这可能会导致意想不到的结果并损害关键利益相关者的信任。通过量化风险，您可以将风险发生的可能性或影响表示为“分布”而不是单个值，从而明确分析中的不确定性有多少。

如果您使用序数标签来传达风险，量化可以帮助您的分析师团队明确每个标签的含义，并在某些风险变为“高”风险而不是“中”或“低”风险时达成一致。分析师为相同的风险分配不同的标签可能是顺序评级系统的陷阱，因此拥有清晰的量化定义可以确保每个人都在同一页面上。

与所有风险分析方法一样，您应该注意记录您的假设，以防以后需要重新审视这些假设。您还应该寻求提供有关在沟通风险时使用哪些数据源或流程来得出结论的信息。